ISMS

ISMS

 ( INFORMATION SECURITY MANAGEMENT SYTEM )

PERLINDUNGAN ASPEK CONFIDENTIALITY, INTEGRITY, AVAILABILITY PADA ISMS

APA SIH ISMS ITU?

ISMS atau lebih dikenal dengan sebutan Information Security Management System tetapi di Indonesia biasa disebut sebagai SMKI (Sistem Manajemen Keamanan Informasi) adalah suatu rancangan manajemen yang difokuskan pada kebutuhan-kebutuhan yang dibutuhkan untuk diimplementasi kepada kontrol keamanan yg disesuaikan dengan kebutuhan organisasi. ISMS(Information Security Management System ) diprogram untuk dapat melindungi aset informasi dari seluruh gangguan yg dapat merusak keamanan yang sudah ada.

Contohnya : ISO27K adalah sebuah seri dari standard international untuk manajemen keamanan informasi. Standar ini bisa mencakup seluruh tipe organisasi (Contohnya perusahaan komersial, agen pemerintahan, organisasi nir-laba, dll.) dan seluruh ukuran bisnis, mulai dari usaha kecil menengah hingga perusahaan berskala international.

ISMS(Information Security Management System) bisa juga disebut sebagai sebuah proses dari mengaplikasikan kontrol manajemen keamanan di dalam sebuah organisasi utk mendapatkan service keamanan agar dapat memastikan keberlangsungan bisnis yg sedang dijalankan. Service keamanan informasi terdiri dari perlindungan terhadap aspek-aspek  yang saling berhubungan seperti berikut ini :

1.    Confidentiality(Kerahasiaan) adalah aspek yg ada sebagai tujuan menjamin tentang kerahasiaan data atau informasi, dipastikan bahwa informasi hanya dapat diakses oleh orang yg sudah ditentukan perusahaan(berwenang) dan bisa menjamin kerahasiaan data yang dikirim, diterima ataupun disimpan.

2.    Integrity (Integritas) adalah aspek yg dapat menjamin bahwa data tidak bisa dimodifikasi data tanpa ada ijin dari pihak yg berwenang (Authorized), juga menjaga keakuratan data yg bisa dipertanggung jawabkan dan keutuhan informasi.

3.    Availability (Ketersediaan) adalah aspek yg menjamin bahwa data akan tersedia pada saat dibutuhkan oleh user lain, memastikan user dapat menggunakan informasi yang tersedia dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

ISMS(Information Security Management System) memiliki sebuah aspek untuk menstandarkan sebuah model bernama Plan-Do-Check-Act (PDCA), yg akan diaplikasikan ke struktur di dalam seluruh proses ISMS(Information Security Management System).

1. Plan(Rencana) yaitu proses membangun ISMS(Information Security Management System) dengan cara mengaplikasikan kebijakan-kebijakan yg telah disepakati bersama dan objektif-objektif di ISMS(Information Security Management System) termasuk membangun prosedur yg memperhatikan atau menekankan pada mengelola sebuah risiko.

2. Do adalah tahap lanjutan dari Plan yaitu proses mengimplementasi dan mengoperasikan ISMS yg telah direncanakan di model yg sebelumnya.

3. Check yaitu proses memerhatikan/memonitoring dan  peninjauan/reviewing ISMS(Information Security Management System) dgn melakukan pengukuran performa terhadap kontrol yg telah diaplikasikan, termasuk kebijakan, dan pada akhirnya mengeluarkan hasil yg ada untuk ditinjau oleh manajemen.

4. Act yaitu Berdasarkan peninjauan dari manajemen dari langkah yg ada sebelumnya, peningkatan dari ISMS(Information Security Management System) yg telah diterapkan akan mengambil tempatnya sesuai dengan ketetapannya.

MANFAATNYA

Keamanan informasi merupakan suatu upaya dlm mengamankan aset informasi yg dimiliki. Keamanan informasi menitikberatkan pd data atau informasi milik perusahaan. Usaha yg dilakukan pemilik data adlh merencanakan yg dilakukan kemudian hari, mengembangkan data yg sudah ada serta mengawasi semua kegiatan yang berkaitan dgn  data dan informasi bisnis sehingga dapat digunakan sesuai dengan fungsinya dan tidak digunakan yg salah atau disebarkan kepada pihak-pihak yang tidak berkepentingan.

Berdasarkan penjelasan sebelumnya, keamanan teknologi informasi merupakan bagian yg sangat terpenting dari keseluruhan aspek keamanan informasi yg ada. Karena teknologi informasi merupakan salah satu alat penting adlh dalam mengamankan akses ke semua user yg terkait dengan penggunaan data dan informasi perusahaan. Dari pemahaman sebelumnya, akan tahu bahwa teknologi informasi yg ada bukanlah salah satu-satunya yg memungkinkan terwujudnya konsep keamanan informasi di perusahaan dngn baik sesuai dengan aspek yg sudah ada.

MENGAPA DIPERLUKANNYA KEAMANAN INFORMASI?

Keamanan informasi melindungi informasi yg ada dari ancaman yg dapat membuat informasi tidak tersampaikan dengan baik dan untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan ditimbulkan dan memaksimalkan keuntungan atas investasi yg berjalan dan kesempatan usaha yg sudah tersedia. Manajemen sistem informasi memungkinkan data utk terbagi secara elektronik, sehingga diperlukannya sistem utk memastikan data telah terkirim dan diterima oleh user dengan benar.

Hasil survey ISBS (Information Security Breaches Survey) pada tahun 2001 menunjukkan bahwa sebagian besar data yg diterima atau informasi tidak cukup terlindungi sehingga beralasan kerawanan dlm pencurian data atau informasi. Hasil survey yg terkait dengan hal ini dpt dilihat dalam gambar berikut:

Survey tersebut juga menunjukkan bahwa 65% organisasi mengalami serangan atau kerusakan data karena kelemahan dlm sistem keamanan. Kegagalan sistem keamanan lebih banyak disebabkan oleh faktor internal dibandingkan dengan faktor eksternal. Faktor internal ini diantaranya kesalahan dalam pengoperasian sistem (45%) dan diskontinuitas power supply (33%).

Hasil survey ISBS(Information Security Breaches Survey)  tahun 2005-2007 menunjukkan bahwa terdapat banyak jaringan bisnis di UK(Inggris) telah mendapatkan serangan dari luar.

Langkah-langkah untuk memastikan bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dpt dilakukan dgn menerapkan kunci-kunci pengendalian yg teridentifikasi dlm standar ini.

Pada keamanan komputer yg ada memberikan persyaratan terhadap komputer yg berbeda, biasanya persyaratan sistem  yg ada karena sering kali berbentuk pembatasan terhadap apa yg tidak boleh dilakukan komputer lain dan membuat keamanan komputer yg ada menjadi lebih menantang karena sudah cukup sulit untuk membuat program komputer yg dapat melakukan kegiatan yg sudah dirancang untuk dilakukan sesuai dengan benar. Persyaratan negatif sukar utk dipenuhi dan sangat membutuhkan pengujian sangat mendalam utk meneliti/verifikasikannya, yg tidak praktis ketika diprogram komputer.

Dan biasanya untuk meningkatkan keamanan komputer dgn membatasi akses fisik terhadap komputer, menerapkan mekanisme pada perangkat keras dan sistem operasi untuk keamanan komputer yg sudah ada , serta menghasilkan strategi pemrograman untuk dapat menghasilkan program komputer yang bisa diandalkan.